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基于 多 类 型 数据 包 的 IPv6 防火 墙 防护 能 力 评 测 方法 - 
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(1. 信息 工程 大 学 ,郑州 450001; 2. 数学 工程 与 先进 计算 国家 重点 实验 室 ， 郑州 450001) 


摘 要 : 为 测试 IPv6 防火 墙 对 潜在 IPv6 网 络 威胁 的 防护 能 力 ， 研 究 IPv6 防火 墙 防护 能 力 评测 方法 。 通 过 对 IPv6 协 
议 的 研究 ， 本 文 构造 了 针对 ICMPv6、 单 一 扩展 报头 、 多 扩展 报头 、 分 片 、 地 址 范围 的 五 类 存在 安全 隐患 的 测试 数据 
E, HET CS 架构 的 防火 墙 测 试 框架 ， 并 基于 框架 和 测试 数据 包 构 建 了 用 于 各 类 测试 的 独立 测试 模块 ， 搭 建 了 可 用 
于 测试 有 状态 防火 墙 的 测试 环境 ， 并 提供 了 相应 的 测试 方法 。 利 用 本 文 所 提出 的 方法 ， 对 思科 ASA5505 防火 墙 进行 了 
测试 ， 发 现 了 它 的 一 些 优点 与 不 足 。 

关键 词 : IPv6; 防火 墙 ; 防护 能 

中 图 分 类 号 : TP393.08 doi: 10.3969/j.issn.1001-3695.2018.01.0043 


IPv6 firewall defensive capability testing method based on varied packets 
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E j- Abstract: In order to test the defensive capability of IPv6 firewall to against potential IPv6 network threats, this paper studied 


IPv6 firewall defensive capability testing technology. Through the research of IPv6 protocol, this paper constructed five kinds 


of test packets with security risks, such as ICMPv6, single extended header, multi-extension header, fragmentation and address 


scopes, proposed a firewall testing framework with C/S architecture, built independent test modules for every kind of testing 


based the framework and test packets, set up test environments that can be used to test stateful firewalls, and provided appropriate 
test methods. Using the method, this paper tested a Cisco ASA5505 firewall and found its advantages and disadvantages. 
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等 , 因而 在 部 分 欧美 国家 得 到 了 广泛 的 推广 和 使 用 。2017 年 11 
月 26 日 , 中 共 中 央 办 公 厅 、 国 务 院 办 公 厅 印发 了 《推进 互联 网 
随 着 物 联 网 的 蓬勃 发 展 , 接 入 互联 网 的 设备 数量 不 断 增 加 。 协议 第 六 版 “IPv6) 规模 部 署 行动 计划 》， 这 标志 着 IPv6 网 络 

而 在 2011 年 2 月 3 日 ， 号 码 资源 组 织 (Number Resource 也 即将 在 我 国 进行 规模 化 部 署 。 
Organization, NRO) 宣布 全 球 互联 网 数字 分 配 机 构 (Internet 随 着 互联 网 的 发 展 ， 网 络 安全 事件 层出不穷 ， 网 络 安全 已 
Assigned Numbers Authority, IANA) 已 经 将 IPv4 地 址 库 剩 余 成 为 人 们 最 为 关注 的 焦点 之 一 。 防 火 墙 作为 最 基本 的 网 络 安全 
的 5 个 A 级 地 址 平均 分 配给 包括 亚太 互联 网 络 信息 中 心 (Asia- 设备 , 为 内 网 安全 提供 了 重要 保障 。 随 着 IPv6 网 络 的 规模 化 部 
Pacific Network Information Center, APNIC) 在 内 的 五 个 地 区 性 署 , IPv6 防火 墙 将 为 了 Pv6 网 络 安全 提供 坚强 保障 。 因 此 ,针对 
互联 网 注册 管理 机 构 (Regional Internet Registry, RIR )!!! ; APNIC IPv6 防火 墙 防护 能 力 的 测试 变 得 尤为 重要 。 
给 出 了 全 球 五 个 RIR 近 几 年 剩余 的 IPv4 地 址 块 数量 随时 间 变 IPv6 防火 墙 的 防护 能 力主 要 体现 在 两 个 方面 : a) 防火 墙 默 
化 图 及 对 今后 变化 趋势 的 预测 证 , 如 图 1 所 示 。 可 以 看 出 各 RIR ” 认 配 置 下 能 否 阻 止 可 能 导致 安全 问题 的 数据 包 通 过 防火 墙 ; b) 
都 已 经 将 最 后 的 /8 地 址 块 分 出 ， 且 预计 到 2021 年 所 有 地 区 的 防火 墙 能 否 通过 配置 相应 规则 阻止 a) 中 不 能 阻止 的 数据 包 通 
IPv4 地 址 将 全 部 分 完 。 而 IPv6 网 络 巨 大 的 地 址 空间 能 完美 解 过 防火 墙 。 
决 当前 地 址 不 足 的 支 众 局 面 。 除 此 之 外 ，IPv6 在 安全 性 方面 较 本 文 为 测试 IPv6 防火 墙 的 防护 能 力 , 构造 了 一 系列 存在 安 
IPv4 也 有 了 较 大 改观 ， 能 进行 更 准确 的 源 地 址 认证 和 路 由 验证 全 隐患 的 IPv6 测试 数据 包 , 构建 了 一 个 IPv6 防火 墙 测试 框架 ， 
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于 测试 有 状态 防火 墙 与 无 状态 防火 墙 的 通用 测试 环 
才思 科 ASA 5505 防火 墙 进 行 了 测试 ， 对 测试 结果 进行 了 
提出 下 一 步 研 究 方 向 。 


RIR IPv4 Address Run-Down Model 


RIR Address Pool(/8s) 


图 1 RIR 剩余 IPv4 地 址 数量 及 预测 


1 ”防火 墙 防护 能 力 评测 技术 分 析 


当前 针对 防火 墙 测试 的 研究 主要 用 于 黑 盒 
各 种 数据 包 测试 其 能 和 否 通过 防火 墙 以 求 还 原 防 火 
根据 其 测试 机 制 可 以 分 为 两 类 : a) 基于 错误 数据 包 的 测试 ， 利 
用 发 送 错误 数据 包 ， 使 其 通过 防火 墙 后 在 后 续 路 由 器 上 产生 因 
特 网 控制 报 文 协议 〈Internet control message protocol, ICMP) 
差错 报 文 ， 通 过 测试 端 是 否 收 到 该 ICMP 差错 报 文 来 判定 该 数 
据 包 能 否 通 过 防火 墙 ; b) 基于 端口 扫描 的 测试 ,利用 发 送 传输 
控制 协议 (transmission control protocol, TCP) 报 文 或 者 用 户 数 
据 报 协议 PUN NEUE UDP) 报 文 ， 通 过 接收 端的 
可 应 以 判断 其 能 否 通过 防火 墙 。 


测试 ， 通 过 发 送 


e 


David 等 人 Bl 提 


出 的 Firewalking 理论 ， 其 使 用 类 似 于 路 
跟踪 的 IP 数据 包 分 析 方 法 来 测定 一 个 特殊 的 数据 包 是 否 能 够 
从 测试 者 的 主机 传送 到 位 于 数据 包 过 滤 设 备 后 的 目标 主机 ， 以 
测试 防火 墙 的 特定 防护 规则 是 否 生效 。 它 主要 是 利用 了 IP 数据 
报 报头 的 生存 时 间 Ctimetolive, TTL) 字段 ， 使 防火 墙 后 的 路 
器 由 于 收 到 TTL 耗 尽 的 数据 包 而 返回 ICMP 


数据 报 , 从 而 判 
定 特 定 的 探测 包 能 否 通 过 防火 墙 ， 以 测试 防火 墙 的 可 靠 性 。 


基于 同步 信号 (synchronous, SYN) 扫描 的 防火 墙 测 i 
法 ， 该 方法 利用 向 位 于 防火 墙 之 后 的 主机 发 送 含 特定 端口 号 的 
TCP-SYN 请 求 包 , 若 测 试 端 收 到 回复 ， 则 说 明 该 端口 号 可 
过 防火 墙 ， 以 测试 防火 墙 的 端口 防护 能 


泛 应 用 于 对 应 用 


Firewalking 是 基于 网 络 层 的 技术 ,能 ) 
IP 层 的 测试 ， 但 不 能 用 于 对 ICMP 差错 报 文 的 测试 ， 而 且 该 技 
术 还 需要 一 个 额外 的 路 由 器 进行 配合 ， 提 高 了 测试 成 本 ， 而 其 
作为 判定 依据 的 ICMP 数据 包 也 极 有 可 能 被 防火 墙 拦截 ， 导 致 
测试 结果 不 可 靠 。 基 于 SYN 扫描 的 防火 墙 测试 技术 只 能 用 于 
针对 应 用 层 的 测试 , 不 能 针对 ICMP 和 IP 层 进行 测试 ， 且 新 
代 防 火 墙 大 多 带 有 防 SYN 扫描 功能 ， 也 可 能 导致 测试 结 


者 的 配置 规则 。 


Pg 4 


准确 。 


MZ, 


的 扩展 报头 。 


针对 JPv6 防火 墙 
增加 了 更 多 的 功能 , 以 及 IPv6 


前 对 防火 墙 测试 技术 的 看 
的 测试 技术 研究 


ChinaXiv 
: 基于 多 类 型 数据 包 的 IPv6 aA VES 


除了 


而 且 本 文 主要 


力 ， 除 了 需要 获取 数据 包 能 


具有 IPv6 特色 的 存在 安全 隐患 的 测 


HHF 


究 主要 针对 IPv4 防火 墙 , 少 有 
。IPv6 协议 中 ICMPv6 比 ICMP 
固定 的 报头 外 ; 


还 
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LA 3t] Zr ik 


有 不 限 数量 
的 在 于 测试 IPv6 防火 墙 的 防护 能 


否 通过 防火 墙 的 信息 
试 数据 包 。 


cH 


2 多 类 型 测试 数据 包 的 构造 


对 


IPv6 
包 ， 以 测试 


2.1 


网 络 的 特点 ， 构 造 
各 类 存 
据 测试 数据 包 的 类 型 ， 
扩展 报头 的 测试 、 针 对 多 扩 
试 以 及 针对 地 址 作 


针对 ICM 
ICMPv6 报 文 主要 分 为 错误 类 
有 具 有 差错 报告 、 网 络 诊断 、 邻 节点 发 现 和 多 播 实现 等 功能 。 
4890 中 对 防火 墙 拦截 ICMPv6 报 文 提出 了 建议 ， 本 文 1 


IPv6 协议 的 而 


E 


可 安全 隐患 


防火 墙 对 


nue 
JR 


p 


ICMPv6 报 文 分 为 三 类 : 


展 报 头 的 测试 、 


的 测试 。 
Pv6 的 测试 数据 包 构 造 


外 ， 还 需 构造 


究 、 对 IPv6 网 络 安全 的 研究 ， 针 对 
患 的 IPv6 防火 墙 测 试 数据 
在 安全 隐患 测试 包 的 防护 能 力 。 根 
将 其 分 为 针对 ICMPv6 的 测试 、 针 对 单 


针对 分 片 攻 击 的 测 


长 报 文 和 信息 类 报 文 两 类 。 


此 


a) 不 应 该 被 防火 墙 拦截 的 。 如 表 1 所 示 ， 其 中 前 四 项 为 
护 所 必需 的 错误 消息 ， 最 后 一 项 是 


IPv6 网 络 中 通信 建立 和 维 
中 必 不 可 少 的 H 
肖 息 ， 以 降低 对 受 保护 网 络 的 扫 
海量 地 址 空 


Teredo 隧道 
中 ， 防 火 墙 
击 风 险 ; 而 
其 受到 扫 


n 


攻击 的 概率 , 因 
送 请 求 /应 答 消 息 。 


送 请 求 /应 答 消 ; 


拦截 回 送 请 求 六 


gres 


IPv6 网 络 中 ， 


ATP 


b) 应 该 被 防火 墙 拦 截 
也 链 路 的 协议 〈 本 地 链 路 多 播 协议 、 
RIL (SEcure neighbor discovery protocol, SEND) 路 径 认 订 


而 在 IPv6 网 络 


间 ， 降 


。 在 IPv4 网 络 
HI 
Kr 


Ph 防火墙 不 应 该 拦截 


的 。 如 表 2 所 示 ， 如 只 应 该 作用 于 本 


邻居 发 现 


BRA. ES 


BJE 


F 通 


知 协议 及 多 播 路 由 器 发 现 协议 ) 和 一 些 未 使 用 的 保留 类 型 。 

c) 其 余 为 可 以 被 防火 墙 拦截 的 。 这 类 消息 能 否 通 过 防火 墙 
对 整个 网 络 不 会 造成 大 的 影响 ， 因 而 在 需要 的 时 候 可 以 通过 防 
火 墙 设置 允许 其 通过 防火 墙 。 

表 1 应 该 通过 防火 墙 的 ICMPv6 报 文 

ICMPv6 类 型 Tx 

1 标 不 可 达 

2 数据 包 过 大 

3, Code 0 TTL 为 0 

4, Code 1,2 下 一 报头 无 法 识别 /无 法 识别 的 

IPv6 选项 
128, 129 可 送 请 求 / 应 答 


hinay Ade BBaiil 
ChinaX iv T FAHTU 
TAT GA, E EE AGRO POR RAGTEA FIJA 
表 2 应 该 被 防火 墙 拦截 的 ICMPvw6 报 文 RPL, PadN, RPL 拦截 
ICMPv6 类 型 描述 目标 选项 扩展 报头 与 逐 跳 选项 扩展 报头 拥有 类 似 的 选项 结 
00, 101, 200, 201 保留 用 于 实验 构 ， 根 据 RFC 4942， 除 Padl 与 PadN 外 ， 其 余 选 项 类 型 最 多 
30-132, 143 本 地 链 路 多 播 协 议 只 能 出 现 一 次 ， 故 构造 了 如 表 4 所 示 的 选项 组 合 ， 并 分 别 加 入 
33-137, 141, 142 邻居 发 现 协议 标 选项 扩展 报头 与 逐 跳 选项 扩展 报头 , 以 对 防火 墙 进行 测试 。 
48, 149 SEND 路 径 认 证 通知 协议 " 
22.2 多 扩展 报头 
51-153 多 播 路 由 器 发 现 协议 、 
NS IPv6 协议 中 没有 对 扩展 报头 的 长 度 和 数量 进行 限制 ， 但 
27, 255 保留 用 于 扩展 
RFC 8200 中 对 其 提出 了 三 项 建议 03:， a» 目标 选项 报头 最 多 出 


ICMPv6 报 文中 类 型 字段 确定 了 ICMPve 报 文 的 类 型 ， 对 ” 现 两 次 (第 一 次 在 路 由 报头 之 前 , 第 二 次 在 上 层 协议 之 前 ); b) 
于 一 些 类 型 的 报 文 ， 代 码 字 段 对 其 进行 了 更 精确 的 分 类 。 本 文 。” 其 余 选项 最 多 出 现 一 次 ; c) 逐 跳 选项 报头 必须 紧 跟 IPv6 基本 
利用 Scapy 库 ， 生 成 上 述 前 两 类 ICMPv6 测试 包 ， 对 防火 墙 进 ”报头 。 同 时 它 也 提出 IPv6 节点 应 该 支持 任意 顺序 任意 出 现 次 数 
行 测试 。 的 扩展 报头 ， 故 构造 了 如 表 5 所 示 的 扩展 报头 组 合 ， 以 测试 防 
火 墙 对 扩展 报头 顺序 数量 有 无 严格 要 求 


esl 


2.2 ”针对 扩展 报头 的 测试 数据 包 构 造 
IPv6 报头 和 扩展 报头 取代 了 IPv4 报头 和 可 选项 ， 新 的 扩 表 5 针对 多 扩展 报头 的 测试 数据 包 
展 报 头 格式 使 耻 v6 更 适应 不 同 的 需求 。 与 IPv4 报头 中 的 可 选 


扩展 报头 组 合 防火 墙 的 预期 操作 
项 不 同 , IPv6 扩展 报头 没有 大 小 限制 , 可 以 容纳 所 有 IPv6 通信 Er T "m 
Bil l u _ 标 选项 ， 逐 跳 选项 FH 
所 需要 的 扩展 数据 。 本 文 主要 利用 逐 跳 选 项 扩展 报头 、 目 标 选 e — 
逐 跳 选 项 ， 逐 跳 选 项 拦截 
项 扩展 报头 及 路 由 扩展 报头 对 防火 墙 进行 测试 ， 分 为 单 扩展 报 u m u m 
标 选 项 ， 路 由 报头 ， 目 标 选项 通过 
头 测试 和 多 扩展 报头 测试 。 - ; EA "M 
逐 跳 选项 ， 目 标 选项 ， 路 由 选项 ， 逐 跳 选 项 ”拦截 
2.2.1 单 扩 展 报头 2.8 针对 分 片 攻 击 的 测试 数据 包 构造 
路 由 扩展 报头 中 包含 路 由 类 型 及 段 剩 余 ， 用 于 表示 特定 路 在 2012 年 BlackHat 大 会 上 ， Atlasis03 提 出 了 基于 分 片 攻 
类 型 和 还 需 访问 的 中 间 目 标 数 。 当 路 由 类 型 为 0 时， 表示 采 — iB IPv6 的 方法 ， 其 中 主要 分 为 重 伙 分 片 攻击 与 超 小 分 片 攻击 。 
用 自由 源 路 于 自由 源 路 由 允许 多 个 相同 地 址 存在 于 同一 mmo gae BK. RH 


j 重 组 时 后 续 分 片 内 容 履 盖 了 先 


EV 


个 路 由 扩展 报 文中 ， 发 送 方 可 让 数据 包 在 两 个 特定 路 由 器 之 间 。 ”前 分 片 的 部 分 内 容 ， 以 达到 修改 分 片 内 容 的 目的 。 根 据 结果 的 
来 回转 发 以 实施 拒绝 服务 攻击 来 消耗 网 络 资源 。 当 剩 余 段 为 0 不 同 ， 可 分 为 对 端口 号 进行 修改 的 重 东 分 片 攻 击 与 对 载荷 进行 
时 


I 
， 可 以 忽略 该 扩展 报头 。 而 移动 人 Pv6 需要 路 由 类 型 为 2、 段 。 修改 的 重 双 分 片 攻 击 。 超 小 分 片 攻 击 指 在 扩展 报头 较 多 的 情况 
剩余 为 1 的 路 由 扩展 报头 支持 "3。 因 此 ， 防火墙 应 该 拦截 路 下 ， 第 一 个 分 片 中 不 包含 上 层 协 议 头 ， 而 试图 利用 防火 墙 对 第 
REN 0 且 段 剩余 不 为 0 的 数据 包 , 当 不 使 用 移动 于 v6 时 甚 色 二 个 分 片 过 滤 不 严格 ， 使 非法 流量 穿 透 防火 墙 的 攻击 方法 ， 如 
可 以 直接 拦截 掉 所 有 含 路 由 扩展 报头 的 数据 包 。 因 此 利用 。 图 3 所 示 。 通 过 构造 如 表 6 所 示 的 数据 包 来 对 防火 墙 进行 测试 。 
Scapy, 生成 含 如 表 3 所 示 的 三 种 路 由 扩展 报头 的 数据 包 以 供 测 


P | I 

We | | 分 片 2 的 载荷 
| 
| 


| 


y 


Iu 


| 
表 3 针对 路 由 报头 的 测试 数据 包 | 


| 7p FĀ: 
ETHERNET 0 Ames | | ORE, 
i o 通过 图 2 重合 分 片 攻击 
2 1 通过 


表 4 针对 目标 选项 报头 与 逐 跳 选 项 报头 的 测试 数据 包 | Ipv6 基 本 头 部 扩展 报头 传输 层 
选项 组 合 防火 墙 的 预期 操作 
= — 分 片 1 截断 分 片 2 
Jumbo, PadN, Jumbo 拦截 图 3 超 小 分 片 攻击 
路 由 警告 , Pad1， 路 由 警告 拦截 


表 6 针对 分 片 攻击 的 测试 数据 包 


快速 开始 , 隧道 封装 限制 , PadN, 快速 开始 “拦截 
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录用 稿 

分 片 类 型 防火 墙 的 预期 操作 

A35 SI a 通过 

履 盖 上 层 协议 头 拦截 

覆盖 数据 部 分 拦截 

第 二 个 分 片 携带 防火 墙 允许 的 端口 号 通过 

第 二 个 分 片 携带 防火 墙 禁 止 的 端口 号 拦截 
2.4 针对 地 址 作用 范围 的 测试 数据 包 构 造 

多 播 地 址 不 能 作为 源 地 址 ， 而 本 地 链 路 地 址 作用 域 为 整个 
本 地 链 路 。 如 表 7 所 示 ， 本 文通 过 构造 以 多 播 地 址 和 本 地 链 路 
地 址 为 源 地 址 的 IPv6 数据 包 ， 以 测试 防火 墙 的 相关 功能 

表 7 针对 地 址 作用 范围 的 测试 数据 包 

源 地 址 类 型 防火 墙 的 预期 操作 

多 播 地 址 (FF00::/32-FFFF::/32) 拦截 

本 地 链 路 地 址 (FE80::/16-FEBF::/16) 拦截 
3  IPv6 防火 墙 测试 框架 

本 文 利用 Python 与 Scapy 开发 了 一 个 客户 /服务 器 
Cclient/server, C/S) 架构 的 IPv6 防火 墙 测试 框架 ， 该 框架 利 


用 TCP 连接 实现 测试 的 同步 与 测试 结果 的 


nu 


传 。 针 对 上 文 提 到 


的 五 种 测试 ， 


分 别 构建 了 相互 独立 的 测试 模块 ， 使 每 种 测试 可 


以 独立 运行 。 
部 分 ， 客 户 端 部 分 负责 则 测试 包 的 生成 与 发 送 ， 上 月 
责 测试 包 的 接收 与 处 理 。 其 流程 如 图 4 B. 


本 文采 
试 。 对 于 一 般 


测试 ， 只 需 客 户 端 、 


每 一 个 独立 的 测试 模块 分 为 客户 端 部 分 与 服务 端 


用 了 如 图 5 所 示 的 拓扑 图 搭建 实际 测试 了 
防火 墙 及 服务 端 即 可 ， 而 对 


及 务 端 部 分 负 


不 境 进行 测 


于 针对 ICMPv6 £i 
拓扑 。 
过 程 中 产生 
态 的 防火 
文 不 是 从 自己 方 发 出 的 ， 会 直接 将 其 丢弃 ， 但 


误 类 报 文 的 测试 而 言 ， 则 需 


错误 而 向 源 发 送 端 发 送 的 


要 如 图 
于 ICMPv6 错误 类 报 文 是 针对 已 发 出 的 数据 包 在 传输 
背 误 说 明报 文 ， 对 于 有 状 
Wo 48] ICMPv6 错误 报 文 且 其 所 携带 的 原 错误 报 
不 能 说 明 其 会 


5 所 示 的 


拦截 正确 的 ICMPv6 差错 报 文 。 利 用 如 该 拓扑 图 月 
服务 端 构造 数据 包 发 往 辅 
数据 包 。 将 客户 端 伪装 为 辅助 防火 墙 ， 


BE 


务 端 构造 的 数据 包 放 入 ICMPv6 消息 的 数据 部 分 ， 
以 测试 防火 墙 对 正确 的 ICMPv6 差错 报 文 的 过 


才 滤 规则 。 


f 示 的 环境 ， 


助 端 ， 配 置 辅助 防火 墙 静默 丢弃 该 
生成 源 MAC 
IPv6 地 址 为 辅助 防火 墙 对 应 地 址 的 ICMPv6 错误 消 


地 址 和 源 
息 , 并 将 服 
发 往 服务 端 ， 


合作 期 刊 


Chi 
等 : 基于 多 类 型 数据 包 的 r naX IVEN 力 评 测 方法 


xcp&, 
FT | 服务 端 
| 
Eds 4 rz] 
开始 测试 | 同步 Hm 
ET M. — —— ——J]— ——» uU 
通信 模块 通信 模块 
jat 测试 结果 如 调用 指 
定 模块 2 定 模块 
v — (N 
NATER 2 
测试 子 模块 E 
模块 | 
wv 
WRTS m 
子 模块 TR 


sq 4 测试 流程 


4 ”实验 


待 测 防火 墙 


图 5 测试 环境 拓扑 图 


结果 与 分 析 


利用 上 述 防 火 墙 测试 框架 、 测 试 环境 及 五 种 测试 模块 ， 对 


思科 ASA 5505 防火 墙 进行 了 测试 ， 验 证 了 本 文 所 提出 的 防火 


省 测试 方法 的 实用 


性 ， 检 测 出 了 被 测 设备 的 若干 


问题 。 


security appliance) 


— 


思科 ASA 5505 防火 墙 是 


一 款 市 场 上 常见 的 ASA (adaptive 


系列 防火 墙 ， 支 持 卫 v4&IPv6 双 栈 接 入 ， 常 


于 企业 或 分 支 机 构 。 本 文采 用 的 ASA5505 防火 墙 的 ASA 系 


统 版 本 为 8.2(5)， 


其 设备 管理 版 本 为 6.4(5)。 将 防火 墙 规则 配置 


为 允许 所 有 流量 从 客户 端 发 往 服务 端 ， 以 测试 其 内 在 默认 规 由 


El Zr L1 


是 否 满足 RFC 标准 ， 是 否 存在 安全 隐患 。 若 存在 安全 问题 ， 则 
前 过 配 


考虑 其 能 否 通 


c 


防火 墙 相关 规则 进行 避免 。 配 置 防火 墙 拦 


堆 UPD/53 流量 ， 


配置 防火 墙 允许 从 服务 端 向 辅助 端 发 送 回 送 请 求 消息 ，| 
试 防火 墙 对 正确 的 ICMPv6 差错 报 文 的 过 


如 图 6 所 示 。 


于 测试 防火 墙 针 对 分 片 攻击 的 防护 能 
1T 3 
防火 墙 配 


寸 滤 规 则 。 


iau Q ay QQ Any less secur... WW ip «P Permit 
2 Q any Q any 16 ip Q Deny 
日 田 inside IPv6 (3 incoming rules) 
1 加 @ ay Q ay Wf. domain Q Deny 
2 [vi Q any Q any EET] wv Permit 
3 Q ay Q ay 1 ip Q Deny 
日 J outside (1 implicit incoming rule) 
1 Q any Q any 16 ip Q Deny 
日 Bl outside IPvô (2 incoming rules) 
1 加 Qa Q ay Eib echo v Permit 
2 Q ay Q any 16 ip Q Deny 


图 6 ASA5505 防火 墙 初始 配置 
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针对 


首先 使 用 客户 端 直 
ICMPv6 进行 测试 


分 表 


的 整 


示 与 预 


期 结果 不 符 。 从 
错误 报 文 全 部 丢弃 ， 故 考虑 该 防火 墙 为 有 状态 防火 墙 ， 利 ) 
章 提 出 的 针对 有 状态 防火 墙 的 测试 方法 


接 向 服务 端 发 送 测 
其 部 分 结果 如 医 


, 


试 包 的 一 般 测 试 方法 
7 AR. H 色 部 


Z] 中 红 


多 


体 测 试 结果 如 图 


存在 
Ti 
可 以 
试 结 


有 状态 防火 墙 ， 其 能 记录 通过 


EE! 


看 出 采 / 
果 均 与 预 


期 相符 。 


期 不 符 的 结果 ， 


7 中 可 以 看 出 , 防火 墙 将 ICMPv6 


ES 
进行 测试 。 针 对 各 模块 


8 所 示 。 其 中 红色 表示 进行 该 模块 测试 时 
绿色 表示 该 模块 中 的 所 有 测试 均 符合 


期 结果 ,将 ICMPvV6 测试 模块 的 详细 结果 整理 
本 章 提 出 的 测试 方法 后 ，ICMPv6 差错 报 文 的 测 
这 说 明了 ASA5505 防火 墙 


自 


为 如 表 8 所 示 。 


| 


己 发 出 的 数据 包 ， 


的 确 是 一 个 
以 拦截 伪造 


的 ICMPv6 差错 报 文 ， 而 不 会 拦截 通信 过 程 中 正常 产生 的 
ICMPv6 差错 报 文 ， 这 样 可 以 避免 非法 流量 穿 透 防火 墙 ， 且 不 


f£) 


T 


使 其 


防火 墙 ， 使 其 拦截 地 址 不 是 在 本 网 络 范 
ICMPv6 类 型 为 200, 201, 255 的 报 文 , 由 于 该 类 型 为 保留 类 型 ， 
若 使 该 类 报 文 出 现在 网 络 中 可 能 导致 一 些 未 知 的 错误 ， 可 以 直 
防火 墙 规则 将 该 类 报 文 丢 弃 。 


接 配 


所 示 


所 以 
项 报 


居 发 现 协 议 的 
service, DoS) Xii 


ERU. H 


影响 IPv6 网 络 的 正常 运行 。 对 于 测试 结果 中 
133-153 的 ICMPv6 1i 3c, H 
青 转 发 到 外 网 ， 而 测试 结果 显示 其 穿 过 防火 
在 IPv6 网 络 中 , 针对 本 地 链 路 的 攻击 方法 众多 ， 如 基于 邻 
Ph 间 人 攻击 和 拒绝 服务 (denial of 


上 F041， 车 防 火 墙 不 拦截 该 类 协议 的 数据 包 ， 


ICMPv6 类 型 为 


] 域 为 本 地 链 路 , 不 应 该 被 防火 


HEA T norm. 


能 远程 发 往 


图 7 一 般 测 


针对 单 扩展 报头 的 


目标 网 络 ， 则 可 能 使 原本 实施 条 件 苛刻 的 本 地 
链 路 攻击 方法 升级 为 远程 攻击 方法 。 对 于 该 类 报 文 ， 可 以 配置 


H 


中 的 该 类 报 文 。 对 于 


ICMPv6 Test 


试 方法 下 ICMPv6 部 分 测试 结果 


。 对 于 路 由 报头 ， 


ASA5505 不 能 上 
SLATE 


于 部 署 移动 耻 v6。 测 试 结果 表明 
k 选 项 报头 携带 的 任意 选项 组 合 均 能 通过 防火 墙 ， 


测试 ， 将 其 详细 测试 结果 整理 为 如 表 9 
于 担心 被 小 
击 ，ASA5505 完全 禁止 了 含 路 由 报头 
于 部 署 移动 IPv6 需要 类 型 为 2， 段 剩余 为 1 的 路 


日 导致 任意 链 路 的 DoS Jt 
的 数据 包 通 过 防火 墙 。1 
报头 支持 ， 
标 选 


表明 ASASSOS 防火 墙 并 不 会 对 其 选项 进行 检查 。 而 ASA5505 


的 防 


火 墙 配 


中 也 没有 如 此 细 粒 度 的 规则 ， 故 ASA5505 对 
标 选 项 报头 和 逐 跳 选 项 报头 的 选 : 
这 两 种 扩展 报头 要 求 中 间 节 点 或 


目 


ni 
目标 节点 对 其 进行 处 理 


字段 不 具备 检查 能 力 。 由 于 
> FX 


其 选项 不 作 要求 ， 可 能 被 他 人 利 ) 


或 目 


标 节点 进行 Dos 攻击 。 由 于 


和 ， 对 传输 路 径 上 的 中 间 节 点 


扩 


展 报 头 紧 跟着 IPv6 基本 报 


头 ， 若 数据 包含 有 扩展 报头 ， 则 基本 包头 中 的 网 络 层 协议 字段 


为 扩展 报头 协议 号 。 其 中 逐 跳 选项 报头 


aXiv 合 作 期 刊 
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协议 号 为 0， 目 标 选 项 


报头 协议 号 为 60。 党 试 在 ASASSOS 中 配置 相应 过 滤 规 则 ， 测 


iX ASAS505 对 扩展 报头 


不 
络 


能 将 网 络 
月 协议 号 为 60 的 数据 包 。 


的 拦截 能 力 。 其 配置 结果 如 


图 9 所 示 。 


层 协 议 号 设 为 0, 故 只 设置 ASA5505 防火 墙 拦截 网 


运行 测试 ， 其 结果 与 之 前 相同 ， 说 


HH ASASSOS 防火 墙 不 能 针对 扩展 报头 种 类 进行 人 为 拦截 。 


IPv6 防火 墙 防护 能 力 测试 o0 
设置 
目的 地 址 (2001:2::90 | 
开放 端口 |80 | 关闭 端口 153 | 
测试 项 测试 结果 (点 击 查 看 详细 结果 ) 
© ICMPv6 Test 


@ Single Extend Header Test 


(& Multi-Extend Header Test 


© Fragments Test 


(g Address Scopes Test 


| 全 部 取消 | | 开始 | 
| 生成 日 志 | 
测试 结束 ! 
图 8 多 模块 测试 结果 
表 8 ICMPv6 测试 模块 详细 结果 
ICMPv6 类 型 测试 结 是 否 相符 预期 
1 通过 是 
2 通过 是 
3, Code 0 通过 是 
4, Code 1,2 通过 是 
100, 101, 127 拦截 是 
128, 129 通过 是 
130-132 拦截 是 
133-137, 141, 142, 143 通过 f 
148, 149 通过 f 
151-153 通过 f 
200, 201,255 通过 f 
RO 单 扩展 报头 测试 模块 详细 结果 
测试 结 是 否 相符 
扩展 报头 类 型 选项 组 合 
果 预期 

类 型 为 0, 段 剩余 为 1 拦截 是 
路 由 扩展 报头 类 型 为 0, 段 剩余 为 0 FB f 

类 型 为 2, 段 剩余 为 1 拦截 f 
逐 跳 扩 展 报头 ”无 通过 是 
/目的 扩展 报 Jumbo, PadN, Jumbo 通过 ff 
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图 9 针对 目的 扩展 报头 的 防火 墙 规则 


针对 多 扩展 报头 的 测试 , 将 其 详细 测试 结果 整理 为 如 表 10 


通过 防火 墙 。 该 特性 


可 能 被 人 利 


所 示 。 可 以 看 出 ， 防 火 墙 对 扩展 报头 顺序 数量 并 没有 要 求 ， 都 


uu 


用 ， 通 过 构造 大 量 逐 跳 选 项 


能 
报头 ， 降 低 整 个 通信 路 
项 


报头 , 对 目标 节点 实施 DoS 攻击 


径 上 通信 质 


TIA, 通过 构造 大 量 目 标 选 


qi 


报头 ， 利 用 扩展 报头 携 


带 通信 数据 


1, 通过 大 量 构造 各 类 扩展 
规避 防火 墙 的 检查 0 。 


表 10 多 扩展 报头 测试 模块 详细 结果 
测试 ” 是 否 相 符 
六 展 报 头 组 合 
结果 预期 
标 选项 ， 逐 跳 选 项 通过 否 
逐 跳 选 项 ， 逐 跳 选 项 通过 ES 
标 选 项 ， 路 由 报头 ， 目 标 选 项 通过 是 
逐 跳 选 项 ， 目 标 选项 ， 路 由 选项 ， 逐 跳 选 项 ”通过 ES 


如 图 8 所 示 , 针对 分 片 和 地 址 范围 的 测试 结果 均 符 合 预期 。 


从 分 片 测试 的 结果 也 可 
记录 之 前 通过 的 分 片 ， 


以 证 明 该 防 
并 据 此 对 后 


火 墙 为 有 状态 防火 墙 ， 它 能 
续 分 片 进行 检测 ， 而 有 效 避 


免 他 人 利用 分 片 数据 包 规避 对 通信 内 容 和 端口 的 检查 。 从 地 址 


范围 测试 的 结果 可 以 看 
播 地 址 及 本 地 链 路 地 址 
的 针对 内 网 本 地 链 路 的 


5 ”结束 语 


本 文 构造 了 五 种 存 


的 数据 包 ， 
反射 攻击 。 


Hi 


在 安全 隐 ; 


和 Scapy 构建 了 C/S 
包 构 建 了 用 于 各 类 测试 
报 文 产生 机 制 的 分 析 ， 

环境 ， 并 提供 了 相应 的 
思科 ASA 5505 防火 墙 


— 


一 中 
zi 


的 独立 测试 


H, ASA5505 防火 墙 能 丢弃 源 地 址 为 多 


这 可 以 有 效 避 免 从 外 网 发 起 


患 的 测试 数据 包 ， 利 用 Python 
架构 的 测试 框 


架 ， 并 基于 框架 和 测试 数据 
模块 。 通 过 对 ICMPv6 差错 


搭建 了 可 | 


于 测试 有 状态 防火 墙 的 测试 


测试 方法 


o 


进行 了 测试 。 


利用 本 文 所 提出 的 方法 ， 对 
经 测试 发 现 ASA5505 是 一 


录用 稿 cp, F: AN A E RAFI 
" 路 由 警告 , padl, 路 。 个 有 状态 防火 墙 ， 对 基于 ICMPv6 差错 报 文 的 防火 墙 穿 透 和 基 
警告 P 于 分 片 的 防火 墙 穿 透 有 很 好 的 防范 效果 。 对 于 作用 域 为 本 地 链 
快速 开始 ,隧道 封装 路 的 本 地 链 路 地 址 和 多 播 地 址 , ASA5505 能 将 含有 此 类 地 址 的 
限制 ,PadN， 快 束 通过 否 数据 包 丢 弃 ， 有 效 避 免 从 外 网 发 起 的 针对 内 网 本 地 链 路 的 反射 
始 攻击 。 ASA5505 默认 配置 下 不 能 将 邻居 发 现 协议 等 作用 域 应 该 
RPL, PadN, RPL 通过 ES 在 本 地 链 路 的 数据 包 限 制 在 本 地 链 路 上 ， 使 在 远程 实施 基于 该 
SE — D»3 类 协议 的 本 地 链 路 攻击 手段 成 为 可 能 。 但 该 类 问题 可 通过 配置 
: -— —— Im 相应 的 防火 墙 规 则 进行 避免 。ASA5505 默认 情况 下 对 逐 跳 选 项 
UDINE E Ep E - 9e 扩展 报头 和 目标 选项 扩展 报头 没有 限制 ， 也 不 能 通过 对 防火 墙 
ZEB uai t uc M Yr 的 配置 进行 限制 。 该 问题 可 能 导致 Dos 攻击 和 规避 防火 墙 通信 
mm m es E — 内 容 检查 的 隐蔽 通信 。 
4 Q ay @ any EET Q Deny 
Tete iius temi ri 和- z5 Gi 由 于 IPv6 协议 中 , 一 个 数据 包 可 携带 的 扩展 报头 数量 没 
"erar P rn EO Eu fu 限制 ， 导 致 防火 墙 若 对 其 逐一 进行 检查 可 能 会 遭受 DoS 攻击 。 
eu $a mi e hy RFC8200 和 RFC4942 建议 对 扩展 报头 及 其 选项 进行 限制 ， 使 


防火 墙 能 对 扩展 报头 实施 检查 , 但 这 也 降低 了 卫 v6 协议 原 有 的 
灵活 性 与 扩展 性 。 如 何平 衡 这 两 者 ， 提 出 新 的 机 制 是 下 一 步 研 
究 的 方向 。 对 于 路 由 扩展 报头 ， 如 何 避 免 被 用 于 DoS 攻击 也 是 
下 一 步 研 究 的 重点 。 
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